以前書いた記事の続きです。
JINSから2013年4月9日に中間報告が発表されました。
当社サーバのログ解析により、平成 25 年3月6日にバックドアプログラムが設置された痕跡、および第三者のサーバにクレジットカード情報が転送されるようにアプリケーションプログラムの改ざんが行われた痕跡が確認されました。
ですと。よく分からない言い訳ですが、ログから外部流出が判明したのであれば、送信先のサーバ所有者を不正アクセスで訴えれば良い話です。(海外であったとしても、IP所有者に対して訴えることは可能だと思います)
このような手段に出ないということは、おそらく自社の何らかのミスで情報が漏洩した可能性が高いと思われます。予想される本当の原因は、「決済ASPに送信したときのカード情報入りログファイルがブラウザから閲覧可能な場所に保存されており、そのログファイルをブラウザ経由で外部から閲覧され、その記録がアクセスログに残っていた。」なんてことじゃないのかな?
これであれば、外部からカード情報入りログファイルを閲覧した人を不正アクセスで訴えることは出来ないので。(ID/PWなしでブラウザ可能な場所に置かれているファイルですから。)
ものすごく初歩的なミスですが、こういうことやっている開発会社を多々見かけます。
1/2くらいの確率で。
「不正アクセス」を報告した会社は、具体的に「何が原因だったのか?」を明らかにしてほしいものです。
自社の顧客だけで無く、インターネットビジネス全体に損害を与えた、加害者として責任を果たしてほしいものです。(そんな無責任の会社のメガネは要りませんよ)